forum.lissyara.su

Если проблема не решается сама, значит она неразрешима
https://forum.lissyara.su/

PF reply-to и зависания Freebsd

https://forum.lissyara.su/viewtopic.php?f=3&t=34588

Страница 1 из 1

PF reply-to и зависания Freebsd

Добавлено: 2011-10-27 4:27:12
GremL1N
Понадобилось мне значит с фряхи пускать пинги на два узла по разным интерфейсам. Для этого решил использовать PF. Но обнаружилось страное.
в конфиге прописал правила

Код: Выделить всё

 pass out reply-to $ext1_if proto icmp to $gw1
 pass out reply-to $ext2_if proto icmp to $gw2
попробовал запустить пинг. и фря замерзла. ни ssh ни основная консоль не реагировали никак. только ребут с кнопки помог.
добавил правила

Код: Выделить всё

pass out route-to $ext1_if proto icmp to $gw1
pass out route-to $ext2_if proto icmp to $gw2
и все стало работать как надо.
Внимание вопрос. нормальное ли это поведение? в интернетах обычно в конфигах пишут только reply-to. И достаточно ли в случае icmp отсавить только правила route-to?

Re: PF reply-to и зависания Freebsd

Добавлено: 2011-10-28 10:17:31
skeletor
Вообще-то у меня работает вот так

Код: Выделить всё

pass in on $int2 reply-to ($int2 $gw2) from any to ($int2) keep state
pass in on $int1 reply-to ($int1 $gw1) from any to ($int1) keep state

Re: PF reply-to и зависания Freebsd

Добавлено: 2011-10-31 3:06:15
GremL1N

Код: Выделить всё

    pass [b]out[/b] reply-to $ext1_if proto icmp to $gw1
    pass [b]out[/b] reply-to $ext2_if proto icmp to $gw2
надо поправить out на in.

Код: Выделить всё

    pass [b]in [/b]reply-to $ext1_if proto icmp to $gw1
    pass [b]in [/b] reply-to $ext2_if proto icmp to $gw2

Re: PF reply-to и зависания Freebsd

Добавлено: 2011-10-31 3:08:17
GremL1N
И к слову. keep state в полседних версия писать не надо он по умолчанию применяется ко всем прваилам

Re: PF reply-to и зависания Freebsd

Добавлено: 2012-11-07 22:25:32
johny87
Помогите, не знаю куда копать уже.

Есть типичный сервер с двумя выходами в инет.
Прописал правило reply-to для второго (не дефолтного) интерфейса :

Код: Выделить всё

pass in on $extif2 reply-to ($extif2 $gw2) from any to ($extif2)
Но коннекты не идут, tcpdump выдает следующее :

Код: Выделить всё

01:22:39.482747 IP ipskotorogozapros.33637 > myip.22: Flags [S], seq 3362160914, win 5840, options [mss 1400,sackOK,TS val 905425424 ecr 0,nop,wscale 7],
length 0
01:22:39.482804 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905425424], length 0
01:22:39.503691 IP myip.22 > ipskotorogozapros.33623: Flags [S.], seq 448300741, ack 2108291023, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val 5
80204345 ecr 905423178], length 0
01:22:39.512707 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:42.482688 IP ipskotorogozapros.33637 > myip.22: Flags [S], seq 3362160914, win 5840, options [mss 1400,sackOK,TS val 905426174 ecr 0,nop,wscale 7],
length 0
01:22:42.482722 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:42.512642 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:45.484737 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:45.512458 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:22:51.488795 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:22:51.511806 IP myip.22 > ipskotorogozapros.33623: Flags [S.], seq 448300741, ack 2108291023, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val 5
80204345 ecr 905423178], length 0
01:22:51.517446 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
01:23:03.496909 IP myip.22 > ipskotorogozapros.33637: Flags [S.], seq 1590601293, ack 3362160915, win 65535, options [mss 1400,nop,wscale 3,sackOK,TS val
2197872077 ecr 905426174], length 0
01:23:03.527043 IP shluzprovaidera > myip: ICMP host ipskotorogozapros unreachable - admin prohibited filter, length 36
Получается пакеты принимает и отправляет на нужный интерфейс, но шлюз провайдера сообщает что "ICMP host unreachable". С чего вдруг ?????

Re: PF reply-to и зависания Freebsd

Добавлено: 2012-11-07 23:00:58
johny87
Или это провайдер блокирует ?
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/